Возможно злоумышленникам удалось получить доступ к вашему аккаунту icq
В последнее время в СМИ обсуждаются множественные случаи взлома портала "Госуслуги". В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги.
Внимание! Данный текст является описанием возможности в экспериментальных целях. Напоминаем, что повтор подобных действий может привести к нарушению законодательства.
Для экспериментов я использовал свой собственный аккаунт, содержащий доступ к моим данным и данным моего юр лица. Доступ осуществляется как с помощью связки логин/пароль + смс, так и ЭЦП. В ходе экспериментов я буду выключать те или иные функции безопасности аккаунта (чего вам делать крайне не рекомендую) и проверять изменения и возможность захвата аккаунта. Также я зарегистрирую новый аккаунт для проверки функций безопасности, настроенных по-умолчанию.
Верхний аккаунт физ. лицо, защищен при помощи 2FA, нижний, юр. лицо, защищен при помощи ЭЦП.
Миф третий. Утечка данных
Опять послушаем экспертов и попробуем поискать утечки. В первую очередь используем google-dork'и.
Поиск pdf-файлов.
Ничего полезного найти не удалось, поэтому решено было продирбастить каталоги и файлы, вдруг разработчики оставили что-то критичное. Пришлось немного оттюнить выхлоп ffuf, чтобы отсеять лишнее.
Ffuf отработал, нашлось немного (
При анализе найденных файлов не удалось найти какую-то критичную информацию.
Даже в комментариях к коду разработчики не оставили никаких "пасхалок".
Поиск по github'у и внешним источникам тоже не дал вразумительного результата.
В основном попадались сервисы обращений, какие-то скраперы и т.д.
Проверка теневых форумов также не выявила возможностей получить/купить доступ или аккаунты.
Ничего интересного найти не удалось.
Выводы: Массовая утечка аккаунтов это миф. В публичном доступе на момент публикации статьи отсутствуют данные о каких-либо утечках.
Рекомендации: использовать средства мониторинга внешних источников.
Отечественная базовая LTE станция: первые испытания
Актуальное
Как взломать аську (ICQ)
Разумеется, способы взломать чужую аську, зная лишь идентификационной номер пользователя – UIN – можно:
- простым подбором пароля;
- с помощью специализированных программ;
- обратившись к хакеру.
В противном случае, уже давно не осталось бы ни одного невзломанного аккаунта в ICQ. Таким приложением для общения вряд ли кто-то стал пользоваться. И это в первую очередь было бы невыгодно самим разработчикам.
В результате разработчики постоянно обновляют протоколы безопасности. И сегодня взлом аккаунта является нетривиальной задачей даже для грамотного хакера. А вот найти такового довольно сложно. Поиски в Интернете в большинстве случаев приводят к банальным мошенникам, которые после получения предоплаты благополучно растворяются в Сети. Так что несостоявшийся злоумышленник сам становится жертвой.
Будет также не лишним отметить, что перед тем, как взломать чужую аську по номеру, стоит вспомнить о возможном уголовном преследовании в этом случае.
Сотовые операторы грозят закрыть салоны связи из-за высокой аренды
Разделы
Контакты редакции:
Реклама и сотрудничество:
ICQ появилась во времена бурной жажды интернет-общения в 96 году. Ключевой и определяющей отправной точкой развития этой службы стала анонимность. Простой поиск собеседников, мгновенная регистрация и доступность дали системе колоссальный толчок на пути к популярности.
Причина номер 1:
Кто-то со мной не согласится, но первая и основная причина в полной потере страха перед деанонимизацией. Пользователи без тени сомнения указывают свои реальные данные в любом приложении, где потребуется регистрация. Появление интернета в свободном обиходе расширило горизонты общения и разбило общество на множество групп. Люди поняли, что они не одиноки в своих страхах, слабостях, переживаниях и перестали это скрывать. Перестав скрывать самое сокровенное, они перестали бояться публичности. Если раньше люди боялись дурной славы(поймите меня правильно), то сейчас это выглядит весьма лестным и желанным: пользователи тысячами снимают видеоролики и обращения самого разного характера и выкладывают их в сеть. Они вспомнили, что жаждой толпы всегда были хлеб и зрелища. А за зрелище, которое собирает большую толпу, частенько дают много хлеба.
Разумеется, что люди перестали пользоваться ICQ не потому, что она не помогает им стать знаменитыми. Они просто перестали бояться тех систем, которые запрашивают их реальные данные в обмен на определенные удобства.(пункт 2)
Причина номер 2:
Причина номер 3:
Пожалуй это единственная причина, о которой можно сказать, что она совершенно оправдана и так ей(ICQ) и надо.
Причина номер 4:
Вы думали, это все? А как же случайные факторы? Так получилось, что поколения сменяются поколениями, интересы другими интересами. Сегодня людям был интересен один мессенджер, а завтра другой. Здесь действует такой же, назовем это, инстинкт, как у людей, которые не станут жить в городах-призраках. Если Ваши знакомые перестали пользоваться мессенджером, разумеется, Вы в нем не останетесь сидеть один. А причины того, почему люди перестали им пользоваться, могут быть самыми разными. Я рассказал о тех, которые вижу именно я, попытавшись скрепить это хоть какими-то аргументами. Ибо мне не безразлично ICQ, и для меня это не только мессенджер, но и вечная ностальгия.
По тем или иным причинам, пользователей может интересовать, как взломать чужую аську по номеру.
Рекомендуем! InstallPack | Стандартный установщик |
---|---|
Официальный дистрибутив ICQ | |
Тихая установка без диалоговых окон | |
Рекомендации по установке необходимых программ | |
Пакетная установка нескольких программ |
UIN привязан к номеру телефона
Пользователи ICQ делились в соц сетях, что UIN в официальном клиенте привязывается к номеру телефона. Это значит, что нельзя создать несколько аккаунтов, используя один номер телефона. К тому же клиенты мессенджера опасаются о безопасности личных данных. В мае Новая газета нашла в приговорах доказательства чтения спецслужбами переписки в ICQ. Однако представители мессенджера отрицали эти данные.
Представители мессенджера также рассказали, что для входа в приложение можно будет использовать UIN. При этом они подчеркнули, что в мае 2019 года в силу вступают новые правила идентификации пользователей мессенджеров по номеру телефона. Они фактически запрещают их анонимное использование.
Как взломать аську (ICQ)
Разумеется, способы взломать чужую аську, зная лишь идентификационной номер пользователя – UIN – можно:
- простым подбором пароля;
- с помощью специализированных программ;
- обратившись к хакеру.
В противном случае, уже давно не осталось бы ни одного невзломанного аккаунта в ICQ. Таким приложением для общения вряд ли кто-то стал пользоваться. И это в первую очередь было бы невыгодно самим разработчикам.
В результате разработчики постоянно обновляют протоколы безопасности. И сегодня взлом аккаунта является нетривиальной задачей даже для грамотного хакера. А вот найти такового довольно сложно. Поиски в Интернете в большинстве случаев приводят к банальным мошенникам, которые после получения предоплаты благополучно растворяются в Сети. Так что несостоявшийся злоумышленник сам становится жертвой.
Будет также не лишним отметить, что перед тем, как взломать чужую аську по номеру, стоит вспомнить о возможном уголовном преследовании в этом случае.
Утечка персональных данных из лаборатории Гемотест
ICQ выманивает номера телефонов
При каждой такой попытке писали: «Возможно, злоумышленникам удалось получить доступ к твоему аккаунту. Пожалуйста, перейди по ссылке для разблокировки».
И уже по ссылке пользователей просили привязать номер телефона.
Представители ICQ сообщили, что в конце декабря 2018 года часть пользователей ICQ заблокировали по ошибке. В компании произошёл технический сбой антиспам-системы.
Российское открытое программное обеспечение: начался эксперимент
Как взломать аську: обзор возможностей
Способ первый
Способ второй
Еще один довольно тривиальный и известный в определенных кругах ответ на вопрос о том, как взломать пароль в аське. Заключается он в подборе пароля при помощи специального программного обеспечения (знатоки называют его брут или брутфорс). Он способен "угадать" комбинации средней сложности в течении относительно небольшого времени от 30 минут до 4-х часов.
Способ третий
Как не стать жертвой?
- попрощаться с аккаунтом;
- узнать, как взломать аську своими силами или заказать взлом;
- попробовать выкупить.
Одним словом, будьте бдительны и помните, что потеря контроля над ICQ ставит под угрозу в первую очередь вашу личную информацию.
Нашел приватный способ о том, как можно взломать icq. Поделюсь им с вам. Способ оказывается довольно простой и не требует покупки никаких программ для влома icq (аськи). Данный способ основан на обмане техподдержки icq и нужно быть аккуратным во время общения с этой техподдержкой, иначе они вас спалят и вы не получите заветный номерок, который хотите получить. После прочтения способа вы узнаете, что взлом аськи это относительно несложный процесс, главное действовать слажено, продуманно.
В этом способе могут учавствовать только старые icq, к которым не было никогда привязана почта. Эти аськи продают на плати, ну и как раз их берут для бизнеса
разных сфер. Как правило нам нужна асьяка с такой тех. особенностью:
Перед тем как обратиться в поддержку нам нужно выполнить следующие:
1. Купить 3-4 старых icq (к примеру на Plati.info)
2. Добавить жертву
3. Общаться с ней с этих асек по крайней мере 1 раз в сутки в течении 5-7 дней
Короче мы должны быть у жертвы в друзьях и иметь историю сообещений.
Далее пишем в поддержку примерно такой текст:
В ответ получаем на почту ответ след. вида:
Аську зарегал давно уже точную дату и не помню. Можно посмотреть в инете когда регались 6-7-8 знаки
А ничего привязано и не было, вот к вам поэтому и обращаюсь. Отправляем
Нам приходит от них следующие
Получаем:
Профит. Всё должно проходить согласованно. Если к примеру будут 2 работы с поддержкой одновременно, то запорят обе так как палево. Там работаю несколько баб, и я более чем уверен что они общаются. Если соберешься начать, пишешь мне согласовываем.
Основными преимуществами неофициальных клиентов являются:
— Отсутствие привязки к номеру телефона.
— Минимум необязательных функций.
— Поддержка нескольких аккаунтов и плагинов.
— Простой доступ к истории переписок.
Пользователи в соцсетях и на «Хабре» заявили, что скорее вообще откажутся от «аськи», чем перейдут на официальный клиент мессенджера.
Миф второй. Может быть уязвимо веб-приложение?
Ну раз эксперты говорят что значительное число, значит скорее всего взломали сайт. Ок, давайте проверим на прочность само веб-приложение и веб-сервисы.
Анализ служебных заголовков, проверка возможности предиктивности кук или сессионных ключей не привели к возможности перехвата чужого аккаунта.
Ничего интересного обнаружить не удалось, далее проверим сайт на уязвимости по OWASP TOP 10. Для этого я попытался использовать OWASP ZAP и Burp Suite Pro в режиме активных сканеров и получал ожидаемую капчу и блокировку WAF'ом.
Ок, автоматика нам не помогла, поищем "руками". В течение пары часов потыкав формы и параметры удалось обнаружить self-XSS в third-party сервисе, но раскрутить эту уязвимость до приемлемого вектора не удалось, да и уязвимость "такая себе", что ее зачастую не валидируют и в bug bounty программах.
Self-XSS. Можно выстрелить себе в ногу.
Expires: Sun, 21 Jul 2026 08:00:00 +0300
Дальнейшие попытки для выявления более серьезных векторов нещадно карались защитными средствами. Были выявлены несколько вроде как устаревших js-библиотек, но проэксплуатировать эти уязвимости не представлялось возможным. Также было выявлено несколько мелких логических уязвимостей.
Выводы: взлом сайта госуслуги является мифом. Даже если высококвалифицированный злоумышленник и сможет что-то найти, то при попытке эксплуатации/обхода средств защиты получит бан и пативен от команды SOC.
Рекомендации: внедрение bug bounty программы для выявления логических уязвимостей.
Что делать пользователям сторонних клиентов
Сервис удаленного доступа TeamViewer уходит из России
IT ипотека: в РФ стартовала льготная программа
Как взломать аську: обзор возможностей
Способ первый
Способ второй
Еще один довольно тривиальный и известный в определенных кругах ответ на вопрос о том, как взломать пароль в аське. Заключается он в подборе пароля при помощи специального программного обеспечения (знатоки называют его брут или брутфорс). Он способен "угадать" комбинации средней сложности в течении относительно небольшого времени от 30 минут до 4-х часов.
Способ третий
Как не стать жертвой?
- попрощаться с аккаунтом;
- узнать, как взломать аську своими силами или заказать взлом;
- попробовать выкупить.
Одним словом, будьте бдительны и помните, что потеря контроля над ICQ ставит под угрозу в первую очередь вашу личную информацию.
Нашел приватный способ о том, как можно взломать icq. Поделюсь им с вам. Способ оказывается довольно простой и не требует покупки никаких программ для влома icq (аськи). Данный способ основан на обмане техподдержки icq и нужно быть аккуратным во время общения с этой техподдержкой, иначе они вас спалят и вы не получите заветный номерок, который хотите получить. После прочтения способа вы узнаете, что взлом аськи это относительно несложный процесс, главное действовать слажено, продуманно.
В этом способе могут учавствовать только старые icq, к которым не было никогда привязана почта. Эти аськи продают на плати, ну и как раз их берут для бизнеса
разных сфер. Как правило нам нужна асьяка с такой тех. особенностью:
Перед тем как обратиться в поддержку нам нужно выполнить следующие:
1. Купить 3-4 старых icq (к примеру на Plati.info)
2. Добавить жертву
3. Общаться с ней с этих асек по крайней мере 1 раз в сутки в течении 5-7 дней
Короче мы должны быть у жертвы в друзьях и иметь историю сообещений.
Далее пишем в поддержку примерно такой текст:
В ответ получаем на почту ответ след. вида:
Аську зарегал давно уже точную дату и не помню. Можно посмотреть в инете когда регались 6-7-8 знаки
А ничего привязано и не было, вот к вам поэтому и обращаюсь. Отправляем
Нам приходит от них следующие
Получаем:
Профит. Всё должно проходить согласованно. Если к примеру будут 2 работы с поддержкой одновременно, то запорят обе так как палево. Там работаю несколько баб, и я более чем уверен что они общаются. Если соберешься начать, пишешь мне согласовываем.
По тем или иным причинам, пользователей может интересовать, как взломать чужую аську по номеру.
Рекомендуем! InstallPack | Стандартный установщик |
---|---|
Официальный дистрибутив ICQ | |
Тихая установка без диалоговых окон | |
Рекомендации по установке необходимых программ | |
Пакетная установка нескольких программ |
МФЦ будет принимать биометрические данные граждан
Миф первый. Взлом аккаунта
Онлайн-мошенники начали взламывать аккаунты граждан на сайте госуслуг и через них брать кредиты и микрозаймы, предупредили опрошенные РБК эксперты. РБК.
Я предполагаю что журналисты имели ввиду брутфорс аккаунтов, только не знали как это называется. Что ж, проверим насколько аккаунт защищен от атак грубой силы.
Для начала попробуем сбрутить известный мне пароль, добавив его в пару десятков других. В результате через несколько попыток получаю отлуп в виде капчи (формально конечно reCAPTCHA):
Ок, попробуем другой метод - будем пытаться "попасть" в пароль с первой попытки: для этого возьмем несколько учеток и один пароль (из популярных) и попробуем взломать аккаунт. Базы email/телефонов валяются в интернете на каждом шагу, но я сделаю синтетическую, чтобы случайно не затронуть чужой аккаунт. Возможно к старым аккаунтам получить учетную запись и пароль реально, но вот к свежим аккаунтам это довольно проблематично - система просто не даст создать простой пароль.
Ввод пароля к новому аккаунту
Ок, еще можно попробовать взять заведомо валидный или часто встречающийся пароль и попробовать сбрутить логин под эту связку.
Брутфорс по имени пользователя
К моему сожалению на третьей попытке получаем капчу (.
Как еще злоумышленники могут получить пароль учетной записи? С помощью фишинга и т.н. credential stuffing, используя "утекшие" или скомпрометированные на других ресурсах учетные записи пользователей.
Пример фишинг-сайта
От такого рода атак (если вы везде используете один пароль) вас спасет только 2FA. Говорить при этом что взломали ваши госуслуги как сервис или почту - ну такое себе.
Провести успешные атаки на аккаунт с ЭЦП не удалось.
Выводы: взлом аккаунтов на самих госуслугах это миф. Пользовательские аккаунты могут быть захвачены в результате фишинговой/credential stuffing атаки.
Рекомендации: включить 2FA, не использовать одинаковые пароли.
Но не все так безнадежно, есть и «обходные пути»:
- Разработчики Miranda на форуме заявили, что попытаются реализовать поддержку нового протокола, но без стикеров и прочих функций. По такому сценарию могут пойти и другие клиенты. Иначе придётся просто прекратить поддержку аккаунтов ICQ.
- На «Хабре» вспомнили неофициальные клиенты, которые писали уже под новый протокол. Такие как Mandarin IM для Android.
Похожие статьи
Цифровая гигиена
Если вы живете в эпоху цифровизации и хотите безопасно пользоваться ее плодами - следуйте нескольким простым советам (это касается не только госуслуг):
Защитите свои данные.
Тем более что и на самих госуслугах это крайне рекомендуют.
Используйте сложный, уникальный пароль от аккаунта.
Включите двухфакторную аутентификацию по смс/с помощью специального приложения.
Включите историю входов и активностей.
Расскажите про это и проверьте настройки у ваших родственников/знакомых чтобы обезопасить их данные.
ICQ была очень популярна в начале 2000-х. Но с появлением новых, более совершенных мессенджеров и соц сетей потеряла свою актуальность. Представители сервиса не поделились с журналистами актуальной статистикой об аудитории ICQ. До этого компания публично раскрывала эти данные в 2013 году. Тогда аудитория мессенджера составляла 11 миллионов пользователей по всему миру. 6,7 миллиона пользователей были из России. При этом неизвестно, какая часть клиентов пользуется неофициальными приложениями.
Тем не менее, «аськой» и сегодня пользуются: кто по работе, а кто по привычке. Некоторые пользователи сторонних клиентов объявили о «смерти ICQ». И заявили, что не будут переходить на официальное приложение.
Миф четвертый. Берем кредит на госуслугах
Ок, проверим что же это такое. Найдем сайт (их тысячи) оформления кредита и попробуем авторизоваться через госуслуги.
Авторизация в сервисе.
Действительно, авторизоваться в сервисе можно с помощью госуслуг, но в тоже время это можно сделать и через соцсети/почту и т.д.
При наличии 2FA авторизации необходимо ввести еще и смс и только тогда сторонний сайт получит доступ к вашим данным.
Давайте разберем подробнее. Ваша верифицированная учетная запись содержит ваши персональные данные - паспорт, СНИЛС, ИНН - это как ваш бумажник, только электронный.
Для идентификации ваших данных на различных ресурсах может использоваться Единая Система Идентификации и Аутентификации портала Госуслуг, условно это аналог знакомого многим OAuth. Что это значит: в онлайн - микрозаймы удостоверяют ваши данные с помощью ЕСИА > госуслуги/соцсеть/почта подтверждают ваши данные > микрозайм выдает кредит (не госуслуги!). Оффлайн: вы приходите в микрозаймы > даете паспорт > микрозайм выдает кредит (не паспортный стол!). Я думаю аналогия понятна.
Выводы: выдача кредитов госуслугами это миф. Кредиты выдают микрозаймовые организации.
Рекомендации: по умолчанию всем пользователям включить использование дополнительных средств верификации/MFA.
Читайте также: